| 1 | Включение валидации DNSSEC с доверием к корневому ключу в Unbound |
|---|
| 2 | ----------------------------------------------------------------- |
|---|
| 3 | |
|---|
| 4 | Вам нужно зайти на машину с кэширующим сервером, т.е. для группы 1, вам |
|---|
| 5 | нужно использовать resolv.grp1.dns.nsrc, так же, как вы делали в |
|---|
| 6 | упражнении по конфигурированию unbound. |
|---|
| 7 | |
|---|
| 8 | 1. Получите корневой ключ |
|---|
| 9 | |
|---|
| 10 | Замечание: это нужно только для целей данной лабораторки - в сети Интернет, |
|---|
| 11 | вы просто использовали бы "unbound-anchor" для скачивания настоящего |
|---|
| 12 | root.key, и указали бы "auto-trust-anchor-file:" в unbound.conf, и повзолили |
|---|
| 13 | бы unbound обновлять ключ при необходимости. |
|---|
| 14 | |
|---|
| 15 | В этом упражнении, спросите преподавателя о том, ипсользуете ли вы "RZM" |
|---|
| 16 | или нет. |
|---|
| 17 | |
|---|
| 18 | С использованием RZM |
|---|
| 19 | -------------------- |
|---|
| 20 | |
|---|
| 21 | |
|---|
| 22 | Посетите https://rzm.dnssek.org/, и скопируйте строчку trust-anchor |
|---|
| 23 | ЦЕЛИКОМ с этой страницы в файл /usr/local/etc/unbound/root.key |
|---|
| 24 | |
|---|
| 25 | Без использования RZM |
|---|
| 26 | --------------------- |
|---|
| 27 | |
|---|
| 28 | Скопируйте ключ с корневого сервера: |
|---|
| 29 | |
|---|
| 30 | # scp sysadm@a.root-servers.net:root.key /usr/local/etc/unbound/root.key |
|---|
| 31 | |
|---|
| 32 | Отредактируйте файл /usr/local/etc/unbound/unbound.conf: |
|---|
| 33 | |
|---|
| 34 | Найдите строку "trust-anchor-file:", и измените ее с: |
|---|
| 35 | |
|---|
| 36 | # trust-anchor-file: "" |
|---|
| 37 | |
|---|
| 38 | на |
|---|
| 39 | |
|---|
| 40 | trust-anchor-file: "/usr/local/etc/unbound/root.key" |
|---|
| 41 | |
|---|
| 42 | 2. Перезапустите DNS-сервер |
|---|
| 43 | |
|---|
| 44 | # service unbound restart |
|---|
| 45 | |
|---|
| 46 | 3. dig @localhost +dnssec mytld. SOA |
|---|
| 47 | |
|---|
| 48 | На что вы обратили внимание? |
|---|
